EvalError: Refused to evaluate a string as JavaScript because ‘unsafe-eval‘ is not an allowed source

于 2025-03-07 22:51:24 发布
阅读量843 收藏 26
点赞数 19
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42554191/article/details/146107383
版权

在这里插入图片描述

🤍 前端开发工程师、技术日更博主、已过CET6
🍨 阿珊和她的猫_CSDN博客专家、23年度博客之星前端领域TOP1
🕠 牛客高级专题作者、打造专栏《前端面试必备》《2024面试高频手撕题》《前端求职突破计划》
🍚 蓝桥云课签约作者、上架课程《Vue.js 和 Egg.js 开发企业级健康管理项目》《带你从入门到实战全面掌握 uni-app》

文章目录

问题描述

在JavaScript开发过程中,开发者经常会遇到 EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive 的错误提示。该错误通常表示在代码中尝试使用 eval() 或类似功能动态执行字符串形式的JavaScript代码,但当前页面的内容安全策略(CSP)配置禁止了这种行为。

原因分析

  1. Content Security Policy (CSP):CSP是一种安全机制,用于限制浏览器加载和执行外部资源,如脚本、样式和图像。CSP通过 script-src 等指令指定哪些源是可信的。默认情况下,script-src 不允许 unsafe-eval,这意味着任何通过 eval()Function() 等方法执行的字符串代码都不会被允许。

  2. 使用 eval() 和类似功能:开发者可能会在代码中使用 eval() 函数来动态执行字符串形式的JavaScript代码。例如:

    eval("var sum = new Function('a', 'b', 'return a + b'); sum(1, 2);");

    这种做法在CSP策略中是不允许的,除非明确允许 unsafe-eval

  3. 浏览器插件和扩展:某些浏览器插件或扩展可能会尝试使用 unsafe-eval,如果它们的CSP配置不正确,也会导致这个错误。例如,Chrome扩展在更新后可能会禁用 unsafe-eval,导致依赖于该功能的插件无法正常工作。

解决方案

1. 避免使用 eval()

尽量避免在代码中使用 eval() 和类似功能。可以使用其他安全的替代方法,如:

  • Function构造函数

    function add(a, b) {
    return a + b;
}
add(1, 2);

  • 模板字符串

    const sum = (a, b) => a + b;
sum(1, 2);

  • DOM操作:如果需要在客户端动态执行代码,可以考虑使用DOM操作API,如 innerHTMLcreateElement

2. 配置Content Security Policy (CSP)

如果确实需要使用 eval() 或类似功能,可以在CSP策略中添加 unsafe-eval。例如,在HTML文件的 <head> 部分添加以下元数据标签:

<meta http-equiv="Content-Security-Policy" content="script-src 'self' 'unsafe-eval';">

或者在服务器端设置HTTP响应头:

Content-Security-Policy: script-src 'self' 'unsafe-eval';

3. 使用安全的替代方案

如果可能,尽量使用安全的替代方案来替代 eval()。例如,使用 Function 构造函数时,确保传递给函数的参数是安全的:

function defineGetter(prop, data) {
    return Object.defineProperty(this, prop, {
        get: () => data
    });
}

4. 更新和测试插件

对于浏览器插件和扩展,确保其CSP配置正确。可以尝试更新插件到最新版本,或者联系插件开发者,询问他们是否计划在未来的版本中解决此问题。

实战案例

假设有一个插件需要动态执行一些代码,但遇到了 EvalError

// popup.js
document.ready(function() {
    $.getJSON('http://alerts.json', function(data) {
        eval("alert('HELLO');"); // 报错: EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive
    });
});

解决方案是避免使用 eval(),改用安全的替代方法:

// popup.js
document.ready(function() {
    $.getJSON('http://alerts.json', function(data) {
        alert('HELLO');
    });
});

总结

EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directive 错误通常是由于在CSP策略中未允许 unsafe-eval,而代码中使用了 eval() 或类似功能。通过以下方法可以有效避免该问题:

  1. 避免使用 eval():尽量使用其他安全的替代方法,如 Function 构造函数、模板字符串或DOM操作。
  2. 配置CSP:在CSP策略中添加 unsafe-eval,但需谨慎使用,避免引入安全风险。
  3. 使用安全的替代方案:确保传递给 Function 构造函数的参数是安全的。
  4. 更新和测试插件:确保浏览器插件和扩展的CSP配置正确。

通过这些方法,开发者可以提高代码的健壮性,减少运行时错误,提升应用的稳定性和用户体验。建议开发者定期检查和测试代码,确保所有引用都正确无误。

Angular C SP 抛出 eval () 问题解决方法。
Standup-jb的博客
02-23 5546
背景:在将项目部署到云平台时,运行抛出异常。异常如下。 Uncaught EvalError: Refused to evaluate a string as JavaScript because 'unsafe-eval' is not an allowed source of script in the following Content Security Policy directiv
在Atom下配置并使用MarkDown全教程
地主家的傻儿子
03-13 1万+
原来是用有道云笔记进行的markdown文章的编写,但是如果有图片就很麻烦。于是决定转用atom编辑器来做书写工具,各种因为版本问题,网络问题搞了一天,一言难尽。。教程背景:这篇教程是在可以翻墙的前提下一、Atom编辑器的安装Atom编辑器下载地址通过这个下载的他会自动默认装到C盘,一些设置默认下去就好。安装完成后整个界面大致是这个样子二、markdown环境的配置 安装qiniu-uploader
vue报错Refused to evaluate a string as JavaScript becauseunsafe-evalis not an allowed...
最新发布
qq_41391095的博客
03-14 4080
electron 使用sequelize报错Uncaught EvalError: Refused to evaluate a string as JavaScript becauseunsafe-evalis not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.把html中meta标签,增加’unsafe-eval
Uncaught EvalError: Refused to evaluate a string as JavaScript
gao_zhennan的博客
07-27 1万+
【Uncaught EvalError 已解决】 本文不仅解决了问题,还介绍了问题发生的原因。。重点在于介绍了:内容安全策略,策略指令
Uncaught EvalError: Refused to evaluate a string as JavaScript becauseunsafe-evalis not an allow
只会div的博客
04-26 1万+
问题 在Electron 中使用react+ webpack创建项目,运行Electron后,控制台报错: Uncaught EvalError: Refused to evaluate a string as JavaScript becauseunsafe-evalis not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’”.
【chrome扩展开发】vue3 引用 vue-i18n 报错 Refused to evaluate a string as JavaScript becauseunsafe-eval
VsXiXi的博客
01-31 1400
【代码】【chrome扩展开发】引用 vue-i18n 报错 Refused to evaluate a string as JavaScript becauseunsafe-eval
‘unsaf-evalis not an allowed source of script
Blues_jim的博客
05-31 1295
发布生产环境时遇到了 这个报错,解决方案是检查nginx配置 CSP 有没有添加 add_header Content-Security-Policy "default-src 'self'"; 将它注释掉或者开白名单
CHROME扩展笔记之拒绝unsafe-eval求值
slongzhang的博客
03-18 1万+
开发插件选项页时由于引用了vue框架开发前端页面,导致拒绝eval求值问题 Uncaught EvalError: Refused to evaluate a string as JavaScript becauseunsafe-evalis not an allowed source of script in the following Content Security Policy directive: “script-src ‘self’ blob: filesystem:”. 这是浏览器自
为什么使用了security 后台出不来了_一起来做Chrome/Firefox/Edge Extension《使用eval类方法》
weixin_39638859的博客
11-30 252
因为FireFox已经兼容了Chrome的Extension API,所以为Chrome制作的Extension可以几乎无缝的发布到FireFox里。但Firefox对代码的要求比Chrome要高,比如今天的主角eval类方法就不允许在Extension里使用,Chrome是可以使用的。本文就是介绍一下相关的内容以及如何去支持。eval类方法简单说明一下,eval类方法,除了eval还有new F...
Electron 中 lordicon 无法显示
AaronZZH 的博客
05-15 1265
Electron 中 lordicon 无法显示 报错1:electron properties of undefined (reading ‘effectsManager’ 调试发现是src="https://cdn.lordicon.com/*.json"未加载导致。但被try catch了 实际报错: ‘unsafe-evalis not an allowed Uncaught EvalError: Refused to evaluate a string as JavaScript becaus
laytpl使用示例
08-02
laytpl使用示例
前端面试常见编程题汇总
廖龙东个人博客
04-07 881
使用时间戳,当触发事件的时候,我们取出当前的时间戳,然后减去之前的时间戳(最一开始值设为 0 ),如果大于设置的时间周期,就执行函数,然后更新时间戳为当前的时间戳,如果小于,就不执行。使用定时器:当触发事件的时候,我们设置一个定时器,再触发事件的时候,如果定时器存在,就不执行,直到定时器执行,然后执行函数,清空定时器,这样就可以设置下个定时器。实现 add(1)(2)(3)(4)(5).sum()和 add(1)(2, 3)(4)(5).sum()参数不定的累加效果。
内容安全策略 (CSP)
allway2的博客
09-05 7198
base64, iVBORw0KGgoAAAANSUhEUgAAAAUA%0A AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO%0A 9TXL0Y4OHwAAAABJRU5ErkJggg==',因为它违反了以下内容安全策略指令:“default-src.'none 请注意,'img-src' 没有显式设置,所以 'default-src' 用作后备。,因为它违反了以下内容安全策略指令:“default-src 'none'”。
那些你熟悉而又陌生的函数,该掌握它了!
程序员成长指北
12-13 290
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群前言五层境界我不知道我不知道我知道我不知道我知道我知道我不知道我知道第三层境界以上的兄...
android4.4 webview调用javascript出现Uncaught ReferenceError: is not define或者has no method
热门推荐
抢财猫股票课堂
10-18 9万+
这几天用Nexcu5 4.4.4系统做一个简单的手机设备号获取,然后调用javascript显示在网页里的功能,以前做过n多类似的程序,结果程序一运行啥问题都出来了,呵呵 [INFO:CONSOLE(1)] "Uncaught ReferenceError: is not define I/chromium(490): [INFO:CONSOLE(1)] "Uncaught SyntaxError: Unexpected token ILLEG [Android] Web Console: Uncaug
is-error-constructor: JavaScript中判断错误构造函数的工具包
资源摘要信息: "is-error-constructor:检查值是否为错误构造函数" 知识点详细说明: 1. JavaScript中的错误构造函数 JavaScript是一种面向对象的编程语言,它提供了一套内置的错误构造函数,用于处理程序运行时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿珊和她的猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值